セキュアなリモートアクセスのベストプラクティス

新型コロナウイルス感染症(COVID-19)の流行は、世界中の幅広い産業にサプライチェーンの大きな混乱を引き起こしています。 航空宇宙企業のエアバスとボーイング、自動車メーカーのテスラとGMはどちらも生産施設を閉鎖し、アップルはコロナウイルスのために四半期の売上高を逃す可能性があると発表しました。

COVID-19により、Amazon、Google、Microsoft、Facebook、Twitterなどのテクノロジー企業を含む世界の主要雇用主は、従業員やサードパーティの請負業者に在宅勤務を義務付けています。

評価版をリクエストする 詳細はこちら

安全なリモート・アクセス

現在、米国の全従業員の43%が少なくともパートタイムでオフサイトで働いていることが、ギャラップ社の「State of the American Workplace」レポートで明らかになりました。 また、調査によると、従業員はリモートワークは生産性の妨げにはならないと考えていますが、アメリカ人の大多数は、リモートワーカーはオンサイトオフィスで働く人と同じくらい生産性が高いと感じています。

コロナウイルスの脅威により、企業が一斉にリモートワークを採用するようになったため、組織は従業員、第三者、請負業者、デジタル資産、顧客データを生物学的ウイルスだけでなくサイバー犯罪者からも保護する必要があるため、オンラインセキュリティが重要な問題になっています。

事業継続、災害復旧、コロナウイルス

コロナウイルスのような危機に対応するために、組織は事業継続計画と同時に策定されたITディザスタリカバリ計画を策定する必要があります。 これには、ITリソースのビジネス上の優先順位と目標復旧時間、およびビジネス・インパクト分析が含まれます。 障害が発生した場合にビジネス回復のニーズを満たすために、ハードウェア、アプリケーション、およびデータを適時に復元するためのテクノロジー回復戦略も開発する必要があります。

また、組織は、外部からの混乱にもかかわらず通常の従業員の生産性を達成しながら、全従業員の大多数がリモートワークを行えるように十分な柔軟性を持たなければならないため、ディザスタリカバリとビジネス継続性を検討する際にも、安全なリモートアクセスが重要な役割を果たします。

破壊的な生物学的事象であるコロナウイルスにより、組織は従業員とITリソースをシフトして、在宅勤務や安全な場所で機能できるようにすることを余儀なくされました。

銀行や金融機関は、証券トレーダーの自宅にスクリーンを設置し、従業員の隔離を通じて新型コロナウイルスの感染を遅らせ、阻止しています。 また、投資銀行家、エンジニア、ITスタッフ、人事、上級管理職は在宅勤務が可能ですが、規制要件を満たす必要があるトレーダーや営業担当者などの労働者は、解決しなければならない技術的な制限に直面しています。

ゴールドマン・サックス、JPモルガン・チェース、モルガン・スタンレー、バークレイズの事業継続計画(BCP)はいずれも、新型コロナウイルスの感染拡大の震源地であるアジア諸国の従業員を隔離し、保護するよう求めています。

「私たちは実践しているところです」と、ある大手米銀の上級幹部は言う。 「目が覚めて、アメリカには50万人の感染者がいるのに、誰かが全員を家に帰せと言っていることに気づくのは嫌だ」

フィナンシャル・タイムズ紙によると、現在、銀行の従業員がコロナウイルスで世界的に隔離されるのを防ぐために、金融機関は、メインサイトと同じ技術力を持つ本社と災害復旧サイトに従業員を分散させることを検討しています。

セキュアなリモートアクセスの実装方法

多くの組織では、従業員、請負業者、ビジネス パートナー、ベンダーにエンタープライズ リモート アクセス テクノロジを使用させ、データ侵害や盗難から保護する必要がある組織所有のデバイス持ち込み (BYOD) クライアント デバイスを使用してリモートで作業を実行できます。 セキュリティ上の懸念には、物理的なセキュリティ制御の欠如、安全でないネットワークの使用、感染したデバイスの内部ネットワークへの接続、外部ホストに対する内部リソースの可用性などが含まれます。

さらに、デバイスのセキュリティに関するセキュリティ ポリシーやサードパーティとの契約は必ずしも強制できるとは限らず、セキュリティが確保されていない、マルウェアに感染した、侵害されたデバイスが機密性の高い組織リソースに接続されたままになる可能性があります。

したがって、リモート アクセス テクノロジを使用して組織を保護し、ネットワーク リソースへの BYOD およびサードパーティ制御のアクセス リスクを軽減するために、米国標準技術研究所 (NIST) は組織が次の制御を実装することを推奨しています。

リモートワーク関連のセキュリティポリシーと制御は、外部環境に敵対的な脅威が含まれているという前提に基づいて計画します。

  • 組織は、従業員や第三者が外部の場所で使用するクライアント デバイスは紛失や盗難の影響を受けやすく、悪意のある行為者によってデータにアクセスしたり、デバイスを使用して組織のネットワーク アクセスを取得したりするために使用される可能性があることを想定する必要があります。
  • クライアント デバイスの紛失または盗難を軽減するには、デバイス ストレージと保存された機密データを暗号化し、機密データをクライアント デバイスに完全に保存しないことが含まれます。 デバイスの再利用の脅威を軽減するには、強力な多要素認証を使用します。

テレワーク、リモートアクセス、BYODの要件を定義するリモートワークのセキュリティポリシーを作成します。

  • リモート ワーク セキュリティ ポリシーでは、リモート アクセスのタイプ、デバイス、およびリモート ワーカーのタイプとアクセス ポリシーを定義する必要があります。
  • また、リモート アクセス サーバーの管理方法とポリシーの更新方法についても、ポリシーで説明する必要があります。
  • 組織は、どのタイプのクライアント デバイスからどのレベルのリモート アクセスを許可するかについて、リスクに基づいた決定を下す必要があります。

リモートアクセスサーバーが効果的に保護され、リモートワークのセキュリティポリシーを適用するように構成されていることを確認します。

  • リモート アクセス サーバーのセキュリティは、外部ホストが内部リソースにアクセスする方法を提供するだけでなく、組織発行のサードパーティ制御の BYOD クライアント デバイスに対して安全で隔離されたテレワーク環境を提供するため、特に重要です。
  • エンタープライズ リソースやテレワーク クライアント デバイスへの不正アクセスを許可するだけでなく、侵害されたサーバーを使用して通信を盗聴して操作したり、組織内の他のホストを攻撃するための「出発点」を提供したりする可能性があります。

組織が管理するリモート ワーク クライアント デバイスを一般的な脅威から保護し、定期的にセキュリティを維持します。

  • リモート ワーク クライアント デバイスには、組織の非テレワーク クライアント デバイスの安全な構成ベースラインで使用されるすべてのローカル セキュリティ制御が含まれている必要があります。

組織の施設内で外部デバイスの使用 (BYOD、サードパーティ制御など) が許可されている場合は、リモート アクセス ポリシーを使用して、この使用のために別の外部専用ネットワークを確立することを強く検討してください。

  • BYOD およびサードパーティ制御のクライアント デバイスを社内の企業ネットワークに直接接続できるようにすると、これらのデバイスには組織独自のデバイスと同じセキュリティ保護機能がないため、リスクが増加します。

NIST はまた、リモート アクセス サーバーをネットワーク境界に配置することを推奨し、次の 4 種類のリモート アクセス方法を定義しています。

  • トンネリング サーバーを使用すると、管理者はネットワーク境界でリモート ワーカーがアクセスするための内部リソースを制御できます。
  • サーバー自体でアプリケーション クライアント ソフトウェアを実行するポータル サーバー。 リモート アクセス ユーザーは、ネットワーク内のサーバーではなく、ポータル サーバー上でのみアプリケーションを実行しているため、それらをネットワーク境界に配置します。
  • リモート デスクトップ アクセスにはリモート アクセス サーバーを使用しないため、リモート アクセス サーバーの配置に問題はありません。
  • ダイレクト アプリケーション アクセス サーバーは、サーバー自体でアプリケーション サーバー ソフトウェアを実行します。 これらをネットワーク境界に配置すると、リモート アクセス ユーザーは、ネットワーク内のサーバーではなく、直接アプリケーション アクセス サーバー上でのみアプリケーションを実行することになるのと同様の効果があります。

チェック・ポイントのセキュアリモートアクセスソリューション

チェック・ポイントを使用すると、組織は NIST リモート アクセス セキュリティ標準などを満たしながら、定義されたポリシーとコンテキスト データに基づくリアルタイムのインテリジェントな信頼決定により、内部リソースへの最小特権アクセスを簡単に管理できるようになります。 チェック・ポイントのゼロトラスト アーキテクチャは、承認されたリソースへのユーザー アクセスも制限するため、VPN を使用せずに、適切なユーザーが適切なタイミングで適切なリソースにアクセスできます。

ユーザー属性とデバイス状態の動的かつ状況に応じた評価に基づいて、各リソース内および各リソース内でのきめ細かなアクセス制御により、ゼロトラストソリューションは、ユーザーを含むすべてのユーザー、サーバー、エンタープライズ データ ストアに適用できる豊富なルール セットを提供します。コマンドとデータベースクエリ。

Gartner Magic Quadrant やポータル サーバーなどのリモート アクセス サーバーのセキュリティも重要です。リモート アクセス サーバーを使用すると、外部ホストが内部リソースにアクセスできるようになり、組織が発行し、サードパーティが制御する安全なリモート作業環境が提供されるためです。 BYOD クライアント デバイス。

チェック・ポイントは、アプリケーションだけでなく、VPN の代替、サードパーティ アクセス、開発者アクセス、特権アクセス管理 (PAM) など、リモート ワーカー向けにいくつかの安全なリモート アクセス オプションを提供します。 NISTのセキュリティ制御を満たす、または上回るデータベースおよびリモートデスクトップアクセス。

VPN の置き換え:

企業はもはや、自社データセンターでシステムのネットワークを運用していません。今日では、一部のアプリケーションをオンプレミスで、一部のアプリケーションをクラウドで運用し、社員はさまざまなデバイスや複数の場所(自宅のリビングや空港のラウンジ、ホテルの会議室、地元のカフェなど)からこれらのアプリケーションにアクセスするのが一般的です。

その結果、わずか10年前には問題にならなかったセキュリティ上の課題が生じるようになりました。 正規のユーザだけを許可しそれ以外のユーザをブロックすることに焦点を当てた境界ベースのセキュリティ モデルに、組織のセキュリティを委ねることはできなくなってしまったのです。

ゼロトラストアクセスソリューションは、現代のデジタル環境の複雑さに対応するように設計されています。 民間企業の Web アプリケーションへの特権アクセスは、ユーザーとデバイスがアプリケーション層で完全に認証および許可された場合にのみ許可され、ネットワークから暗黙的な信頼が排除されます。

第三者によるアクセス:

フリーランサーと契約社員は、今日の労働力において不可欠な要因です。 機密データへのアクセスを大規模に管理することはほぼ不可能であり、企業を潜在的なセキュリティ リスクにさらします。 境界ベースのソリューションでは、ユーザ アクティビティを可視化することはできません。 サードパーティ ベンダーに起因している可能性のある個々のログインの数を把握している企業はわずか34%です。

チェック・ポイントを使用すると、管理者はロールベースの制御により、内部アプリケーション (および内部アプリケーション内) へのアクセスを簡単にプロビジョニングおよびプロビジョニング解除し、時間と範囲の両方でアクセスを制限できます。 さらに、管理者は、すべてのサードパーティのアクティビティを可視化する完全なアクティビティログを受け取ります。 セキュリティチームは、複雑なワークフローの設定と管理に貴重な時間を浪費する必要がなくなりました。

開発者アクセス:

開発と展開のペースが速い今日の開発環境では、アクセス性を高めることが求められます。しかし、アクセス性を高めると、今度は単純な人的ミスによってデータベースの重要なデータが破損したり削除されたりするリスクが大きくなります。 ところが、その対策として従来型の境界ベースのセキュリティを導入すると、開発の俊敏性が損なわれる結果になりがちです。 その回避策としてよく見られるのが、開発者に管理者権限を付与するという方法ですが、この場合は、攻撃者に管理者権限を悪用され、ネットワーク中を自由に動き回られることになりかねません。

チェック・ポイントのソリューションを使用すると、管理者にこのように強力な権限を付与する必要がなくなります。 チェック・ポイントは、各種データベース プロトコルとネイティブに連携します。このため、開発者はターミナルを介して任意のデータベースに迅速かつ安全に接続することが可能です。 基盤となるセキュリティ対策の存在を開発者が認識することはありません。 またロール ベースのアクセス制御を使用すれば、管理者はデータベース(およびその内部)へのアクセスのプロビジョニングとプロビジョニング解除を容易に行いつつ、開発者のロールを「閲覧のみ」に制限することで、データベースに対する書き込み、削除、変更を完全に禁止できます。

特権アクセス管理 (PAM):

サーバへの特権アクセスを保護するにあたり、従来は鍵の管理が重要視されていました。 しかし、鍵の管理、トラッキング、ローテーションを大規模に行うことは困難です。 認証情報の窃取は依然として最も効率的かつ効果的な攻撃手法の1つであり、4社に3社はSSHの不適切な管理が原因でルート レベルの攻撃に対して脆弱な状態になっています。

チェック・ポイントのゼロ トラスト アーキテクチャは、組み込みのPAMソリューションによってサーバへの特権アクセスを保護し、ユーザによる静的な認証情報の保持を不要にします。 代わりに、サーバに対する認証には、チェック・ポイントが発行、管理する一時的なトークンと公開・秘密鍵ペアのいずれかが使用されます。 鍵は定期的にローテートされ、いつでも手動で取り消して、すべてのアクセスを即座に遮断することが可能です。

その他の利点:

  • オプションのセキュリティ証明書を使用して、3 分以内にデプロイメントを実現するエージェントレス アーキテクチャ。
  • ユーザー属性とデバイス状態の動的かつ状況に応じた評価に基づいて、各リソース内および各リソース内でのきめ細かなアクセス制御が行われます。
  • ポリシーは、すべてのユーザー、サーバー、およびエンタープライズデータストア(ユーザーコマンドやデータベースクエリを含む)に適用できます。
  • 監視、ロギング、アラート機能を使用して、アプリケーション、サーバー、データベース、または環境へのサードパーティのアクセスおよびその内部でのアクセスを制御します。
  • SSHキーのSSOは、中央の安全な場所で維持されるため、静的な資格情報の手動管理が不要になり、キーの紛失や侵害のリスクが軽減されます。
  • 権限をきめ細かく制御するデータベースアクセスの管理と監視。
  • サーバーアクセス、実行されたコマンド、クエリされたデータ、完全に記録されたセッションなど、ユーザーアクティビティの監査証跡。
×
  Feedback
このウェブサイトは、機能性と分析およびマーケティングの目的でクッキーを使用しています。 このウェブサイトを引き続きご利用いただくことで、クッキーの使用に同意したことになります。 詳細については、 Cookie に関する通知をお読みください。
OK